当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025994

漏洞标题:瑞丽网站数据库配置信息泄露

相关厂商:rayli.com.cn

漏洞作者: 毕月乌

提交时间:2013-07-11 15:59

修复时间:2013-08-25 16:00

公开时间:2013-08-25 16:00

漏洞类型:网络敏感信息泄漏

危害等级:低

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-11: 细节已通知厂商并且等待厂商处理中
2013-07-11: 厂商已经确认,细节仅向厂商公开
2013-07-21: 细节向核心白帽子及相关领域专家公开
2013-07-31: 细节向普通白帽子公开
2013-08-10: 细节向实习白帽子公开
2013-08-25: 细节向公众公开

简要描述:

瑞丽网站全线到处漏,漏了一地啊~

详细说明:

那啥,先来个不严重的
http://comment2.rayli.com.cn/js/
漏了几个JS,没啥太严重问题
然后是http://comment2.rayli.com.cn/json/hzp/
漏了不少信息
最后是http://comment2.rayli.com.cn/json/
这个漏的太霸气了,无法形容

漏洞证明:

开始连续上图,图不多,猫不会死的~
http://comment2.rayli.com.cn/js/
这个没啥说的

QQ截图20130615101828.jpg


然后是http://comment2.rayli.com.cn/json/hzp/
其实也没啥可说的,漏了一大堆json文件而已,下载下来解码一下,闲着无聊的时候当小说看看还是可以的,不过其中包含IP,用户名,uid神马的,我是好人,坏人自己发挥

QQ截图20130615102657.jpg


最霸气的来了http://comment2.rayli.com.cn/json/
那啥,我真的啥也没干,不信你们查日志,我就是翻到了这个信息而已

QQ截图20130615102350.jpg


那啥,这样的洞可以求个礼物不?

修复方案:

你们的程序员比我清楚~

版权声明:转载请注明来源 毕月乌@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-07-11 16:12

厂商回复:

已修补不让显示文件列表. 至于http://comment2.rayli.com.cn/json/ 不知道是谁把php文件改成html了...

最新状态:

暂无

漏洞评价:

评论